CVE-2022-1388 F5 BIG-IP iControl REST身份验证绕过漏洞

admin 2022年5月5日23:42:58安全漏洞评论297 views709字阅读2分21秒阅读模式


CVE-2022-1388 F5 BIG-IP iControl REST身份验证绕过漏洞


漏洞影响版本:

16.1.0 <= BIG-IP <= 16.1.2 

15.1.0 <= BIG-IP <= 15.1.5 

14.1.0 <= BIG-IP <= 14.1.4 

13.1.0 <= BIG-IP <= 13.1.4 

12.1.0 <= BIG-IP <= 12.1.6 

11.6.1 <= BIG-IP <= 11.6.5


漏洞介绍及修复建议:

*临时防护方案*

在可以安装固定版本之前,您可以使用以下部分作为临时缓解措施。这些缓解措施将对 iControl REST 的访问限制为仅受信任的网络或设备,从而限制了攻击面。


1. 通过自有 IP 地址阻止对 BIG-IP 系统的 iControl REST 接口的所有访问;


2. 通过管理界面将访问限制为仅受信任的用户和设备;


3. 修改 BIG-IP httpd 配置。


*正式防护方案*

厂商已发布升级修复漏洞,用户请尽快更新至安全版本:

v17.0.0、v16.1.2.2、v15.1.5.1、v14.1.4.6 和 v13.1.5

版本12.x和11.x 可能将不会受到修复。

与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。


POC/EXP:暂无(待更新)


参考链接:

​​https://thehackernews.com/2022/05/f5-warns-of-new-critical-big-ip-remote.html?m=1

https://mp.weixin.qq.com/s/m8CCUl03fxmTsuxSBAn61Q

CVE-2022-1388 F5 BIG-IP iControl REST身份验证绕过漏洞

原文始发于微信公众号(401SecNote):CVE-2022-1388 F5 BIG-IP iControl REST身份验证绕过漏洞

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月5日23:42:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  CVE-2022-1388 F5 BIG-IP iControl REST身份验证绕过漏洞 http://cn-sec.com/archives/978393.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: